-
-
[注意]Talosec安全人员的硬件钱包开源项目召集核心实验组成员
-
发表于: 2019-1-3 20:09
-
背景介绍
大部分区块链技术(公有链系统)都需要代币Coin或者Token作为价值存储或者价值交换的媒介,同时也是确保共识协议安全的激励机制得以运行的核心保证。所以钱包作为基础部件是所有区块链技术普及推广的入口,那么他的安全就成为整个技术的最核心的需求。就好比我们不是很担心银行卡被盗,因为有银行保管背书。但是在一个去中心化,没有第三方信任机构的区块链系统里,用户需要自己保证自身资产的安全,这无疑极大的提高了准入门槛,因为即便是训练有素的安全人员也无法在一个充满安全风险的移动或终端环境来不费力的保护自身的安全。那么对于缺乏基本安全意识的普通用户而言难度可想而知,这也是区块链技术难以普及的主要阻力之一。
有鉴于此我们需要一个高安全,高可靠性并且便携的硬件安全钱包,它由安全人员设计,必须经得起对安全有着严苛要求的安全社区的检验。我们将采用开源的方式进行项目开发,我们相信只有通过安全社区的共同参与设计,开发和测试,才能最大限度的提高安全性,也只有长期持续的维护,才能应对未来攻击技术的不断更新。
设计目标
让安全人员都能放心使用的硬件钱包。
设计原则
- 极简核心功能,功能越多,风险越大。
- 对所有采用的硬件芯片进行攻击测试,高成本的攻击测试由第三方安全实验室协助完成。
- 对系统数据和信号的侧信道进行攻击测试,需要社区持续进行,确保关键信息不被泄漏。
- 采用高可靠性组件,确保在极端环境下也能工作。
- 保证扩展能力,适应各条链底层算法的变化。
- 软硬件全部开源,确保所有的代码设计可以审计,不使用闭源库。
- 可以应对所有的攻击模型即便是理论上的,在安全上保持适度的过度设计。
安全特性及功能
- 安全芯片
- 防剩磁攻击
- 防多种侧信道攻击
- 防硬件篡改
- 防供应链攻击
- 防剪贴板攻击
- 可抵赖性
- FIDO-U2F兼容
- BLE连接
- 支持全币种
- 支持多签名
- 支持多种匿名币方案
项目发起人
看雪,菩提,forgot,海风月影,fly,hexer,xikug, zmworm,老段
核心实验组成员召集计划
项目早期成员已经完成了基础架构设计,软硬件原型的开发也即将完成。作为一个软硬件开源项目,需要更多的同好共同参与,现面向看雪论坛用户召集该项目核心实验组成员。如有下列安全背景的论坛用户可以自荐或推荐其他非论坛用户加入核心实验组。
- 嵌入式系统(arm内核)安全
- 无线通讯安全
- 硬件破解防护(侵入式,半侵入式和非侵入式)
- 侧信道攻击防护(包括但不限于缓存攻击,时差攻击,SPA,DPA,错误注入分析,剩磁攻击,电磁场分析等)
- 密码学算法和协议
- 移动端安全(ios, android)
- 桌面端安全(win, linux&osx)
- 网络安全
创始成员将根据自身特长选择不同的安全点参与防御或攻击任务,根据参与任务的不同程度和贡献,成员会获得相应奖励,奖励计划与产品的众筹和社区的其他激励计划会在内部社区发布。终稿交由项目社区集体讨论投票,以确保公平公正公开。未来项目产品最终会作为零售商品对公众销售,作为众创项目会将所有的收益最大化的回馈给所有的参与者。
参与方式
- 论坛站内发送短信给论坛版主,版主看雪用户名:菩提!。
- 发送邮件至xww@kanxue.com
发送内容包括:
ID,微信号或Telegram号,个人介绍,参与目的,关注方向,以及预估可能的参与贡献程度1-10打分。
我们会筛选合适的用户择优给予通知回复。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2019-1-6 19:57
被kanxue编辑
,原因:
